Zum Hauptinhalt springen
Enneo bietet zwei unabhängige Mechanismen zur Kontrolle des Systemzugangs: eine netzwerkbasierte IP-Whitelist und eine identitätsbasierte Konfiguration der erlaubten Anmeldemethoden. Beide Mechanismen greifen auf unterschiedlichen Ebenen und lassen sich kombinieren.

IP-Whitelist

Die IP-Whitelist beschränkt den Zugriff auf Enneo auf Basis der Netzwerkadresse des anfragenden Clients. Ist die Einstellung aktiv, werden alle Anfragen von Benutzern abgewiesen, deren IP-Adresse nicht in der Liste enthalten ist. Die Konfiguration findest du unter Erweiterte Einstellungen → Datenschutz → Zugriffssteuerung - IP Whitelist. Die Einstellung nimmt eine Liste von IP-Adressen oder CIDR-Bereichen entgegen. Sowohl IPv4 als auch IPv6 werden unterstützt. 
["192.168.1.0/24", "10.0.0.5", "2001:db8::/32"]
Ist die Liste leer, ist der Zugriff ohne IP-Beschränkung möglich. Sobald mindestens ein Eintrag gesetzt ist, wird jede Anfrage geprüft — bei einem Treffer wird der Zugriff gewährt, andernfalls verweigert.
Beim Setzen der IP-Whitelist prüft das System, ob die eigene IP-Adresse des konfigurierenden Benutzers ebenfalls in der Liste enthalten ist. Ist das nicht der Fall, wird die Speicherung abgelehnt — als Schutz vor versehentlicher Selbstsperrung.

Anmeldemethoden (OAuth / SSO)

Enneo unterstützt mehrere Anmeldemethoden, die pro Mandant konfiguriert werden. Die SSO-Konfiguration findest du unter Erweiterte Einstellungen → Single-Sign-On.

Erlaubte Anmeldemethoden

Die Einstellung legt fest, welche Login-Typen aktiv sind:
WertBeschreibung
microsoftMicrosoft Azure AD / Entra ID (OAuth2/OIDC)
googleGoogle OAuth2
oauthGenerischer OAuth2-Anbieter (konfigurierbar)
localLokale Anmeldung mit E-Mail und Passwort
Benutzer, die ausschließlich über SSO angelegt wurden, können sich nicht über die lokale Anmeldung einloggen — auch wenn local aktiviert ist.

Erlaubte E-Mail-Domains

Ist diese Einstellung gesetzt, werden neue Benutzer nur dann angelegt, wenn ihre E-Mail-Adresse zu einer der konfigurierten Domains gehört. 
["example.com", "partner.org"]
Bestehende Benutzer sind nicht betroffen — die Prüfung erfolgt ausschließlich bei der erstmaligen Anlage eines Accounts via SSO. Ist die Liste leer oder nicht gesetzt, gibt es keine Domain-Einschränkung.